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基层 事业 单位 网 络 安全 技术 防护 及 党 理 


摘 要 : 在 网 络 信息 化 浪潮 的 不 断 推动 下 ， 网 络 规模 迅速 扩大 ， 各 个 行业 都 主动 融入 其 中 ， 由 此 涌现 出 的 互联 网 经 济 ， 不 仅 
促进 了 企业 的 发 展 ， 而 且 给 人 们 的 生活 带 来 了 翻天 窗 地 的 变化 。 但 随 之 而 来 的 网 络 信息 安全 问题 也 日 益 突出 。 由 于 网 络 先天 
的 脆弱 性 ， 导 致 黑客 攻击 、 病 毒 泛滥 等 方面 的 问题 层出不穷 ， 给 网 络 安全 造成 了 威胁 ， 甚 至 可 能 会 造成 的 一 定 的 危害 。 因 此 ， 
在 享受 网 络 带 来 的 便利 的 同时 ， 我 们 也 应 该 对 网 络 的 安全 问题 保持 高 度 警觉 。 本 文 益 述 了 基层 事业 单位 所 面临 的 网 络 安全 问 
题 以 及 相应 的 安全 防护 措施 ， 涉 及 技术 防范 和 安全 管理 ， 力 图 避免 一 些 潜 在 的 网 络 安全 隐患 发 生 ， 进 一 步 提高 基层 事业 单位 


计算 机 网 络 的 安全 性 和 可 靠 性 。 
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在 信息 技术 飞速 发 展 的 今天 ， 互 联网 络 异 军 突起 ， 
以 其 易 用 、 高 效 的 便利 性 ， 轻 松 地 融入 了 人 们 的 工作 和 
生活 中 。 在 享受 科技 带 来 乐趣 的 同时 ， 也 面临 着 来 自 网 
络 层出不穷 的 各 种 威胁 , 信息 安全 不 断 受 到 挑战 ， 特 别 是 
基础 网 络 安全 防护 能 力 薄 弱 ， 导 致 安全 危机 。 网 络 互联 
在 基层 事业 单位 已 经 完全 普及 ,很 多 基层 单位 除了 和 上 
级 单位 连接 的 内 部 业务 网 络 ， 还 有 根据 自身 业务 接 入 互 
联网 的 独立 局 域 网 。 基 层 事 业 单 位 的 网 络 安全 主要 是 解 
决 自 建 网 络 的 安全 问题 ， 网 络 规模 不 大 ， 设 备 不 多 , 但 
是 种 类 与 大 型 网 络 基 本 相同 。 随 着 互联 网 规模 的 膨胀 ， 
网 络 安全 问题 逐渐 显现 ， 而 且 越 来 越 复 杂 ， 如 果 安 全 防 
护 不 到 位 , 很 容易 受到 病毒 、 木 马 等 程序 以 及 黑客 的 侵害 ， 
不 仅 会 对 本 单位 网 络 ， 其 至 可 能 连同 上 级 单位 的 网 络 一 
起 会 造成 损害 。 因 此 ， 基 层 单位 的 网 络 必须 要 采用 行 之 
有 效 的 技术 手段 和 管理 办 法 防范 各 种 威胁 网 络 安全 的 事 
件 ， 尽量 避免 安全 危害 发 生 。 
1. 网 络 安全 概述 
1.1 网 络 安全 的 定义 

国际 标准 化 组 织 ISO 74982 文献 中 对 安全 的 定义 是 : 
安全 就 是 最 大 限度 地 减少 数据 和 资源 被 攻击 的 可 能 性 。 
《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 第 三 
条 ， 规 范 了 包括 计算 机 网 络 系统 在 内 的 计算 机 信息 系统 
安全 的 概念 : 计算 机 信息 系统 的 安全 保护 ， 应 当 保障 计 
算 机 及 其 相关 的 和 配套 的 设备 、 设 施 ( 含 网 络 ) 的 安全 ， 
运行 环境 的 安全 ， 保 障 信息 的 安全 ,保障 计算 机 功能 的 
正常 发 挥 ， 以 维护 计算 机 信息 系统 的 安全 运行 。 
1. 2 网 络 安全 的 基本 要 素 

从 本 质 上 讲 ， 网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 
和 系统 中 的 数据 受到 保护 ， 不 因 偶然 的 或 者 恶意 的 攻击 
而 章 到 破坏 、 更 改 、 泄露, 系统 能 连续 可 靠 地 正常 地 运行 ， 
网 络 服务 不 中 断 。 广 义 上 讲 ， 凡 是 涉及 网 络 上 信息 的 保 
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密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 的 相关 技 
术 和 理论 都 是 网 络 安全 所 要 研究 的 领域 ， 即 网 络 安全 的 
五 个 要 素 。 

(1) 保密 性 ( Configentiality ) : 主要 是 指 保 证 非 授 
权 的 用 户 不 能 访问 , 信息 不 暴露 给 未 授权 的 实体 或 进程 。 

(2 ) 完整 性 (Integrity ) : 主要 是 指 信息 只 有 获得 
许可 的 用 户 才能 修改 实体 或 进程 。 

(3) 可 用 性 ( Availability ) : 主要 是 指 只 有 授权 用 
户 可 以 随时 访问 信息 ， 有 访问 控制 机 制 阻止 非 授 权 用 户 
进入 。 

(4 ) 可 控 性 ( Contrallability ): 主要 是 指 有 授权 机 制 、 
可 对 信息 传播 行为 、 内 容 和 范围 进行 控制 。 

(5 ) 不 可 否认 性 (Non-Repudiation ) : 主要 是 指出 
现 的 安全 问题 能 提供 监控 、 审 计 等 手段 , 具备 可 追溯 性 。 

网 络 的 安全 与 开放 是 矛盾 关系 ， 系 统 不 提供 任何 服 
务 ， 不 会 产生 安全 威胁 ， 一 旦 提供 服务 ， 在 开放 的 网 络 
环境 下 ， 各 种 安全 问题 必然 随 之 而 来 。 
2. 基层 事业 网 络 安全 面临 的 问题 
2.1 网 络 协议 自身 的 缺陷 

网 络 通信 协议 是 互联 网 络 传输 的 基础 ， 协 议 设 计 之 
初 ， 并 没有 考虑 到 现在 网 络 的 复杂 情况 ， 从 而 导致 这 些 
协议 存在 着 不 同 的 原生 缺陷 。TCP/IP 是 Internet 的 基本 协 
议 ， 网络 上 针对 它 的 缺陷 有 很 多 攻击 方法 。 

物理 层 的 侵害 主要 是 对 网 络 硬件 和 基础 设施 进行 物 
理 破坏 。 例 如 ,施工 将 电力 线路 破坏 引起 单位 断 电 ， 或 
者 出 口 线路 被 挖 断 ， 均 可 导致 无 法 访问 互联 网 络 。 

ARP (地址 解析 协议 ) 和 RARP ( 反 地 址 解析 协议 ) 
是 TCP/P 数据 链 路 层 上 的 两 个 重要 协议 ，ARP 欺骗 和 伪 
装 是 发 生 在 这 里 的 常见 攻击 手段 。 

网 络 层 包括 ICMP、IP 和 IGMP 协议 ， 它 们 常常 引发 
大 多 数 ICMP 路 由 欺骗 、Smuff 攻击 和 IP 碎片 攻 击 等 著名 
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的 网 络 攻击 方式 。 

传输 层 是 被 攻击 的 重 灾区 ， 由 于 TCP 连接 占用 资源 
大 、 释 放 慢 和 UDP 无 连接 、 不 可 靠 等 自身 缺陷 导致 的 攻 
击 情况 非常 多 ,最 常见 的 有 会 话 动 持 、 中 间 人 攻击 、SYN 
FLOOD 攻击 以 及 TCP 序列 号 欺骗 和 攻击 等 。 

在 应 用 层 上 , 应 用 协议 众多 , 如 DNS、FTP、SMTP 等 ， 
主要 攻击 是 DNS 欺骗 。 此 外 ， 由 于 一 些 软 件 如 数据 库 、 
自行 开发 的 应 用 等 软件 在 运行 中 出 现 漏 洞 ， 同 样 会 引起 
黑客 攻击 。 
2. 2 恶意 代码 的 危害 
1 于 网 络 的 开放 、 互 联 特性 ， 网 络 上 的 用 户 可 以 自 
由 来 往 于 各 个 站 点 ， 各 种 信息 系统 互联 和 互通， 用 户 身 份 
和 位 置 难以 识别 ， 同 时 ， 由 于 网 络 协议 和 部 分 软件 存在 
技术 漏洞 , 这 些 都 为 恶意 代码 的 传播 和 扩散 提供 了 便利 。 
常见 的 恶意 蠕虫 、 病 毒 、 缓 冲 溢出 代码 、 后 门 木马 等 危 
害 就 是 利用 了 TCP/ 协议 的 缺陷 。 越 来 越 多 的 恶性 攻击 
事件 说 明 目 前 网 络 安全 形势 严峻 ， 不 法 分 子 的 技术 手段 
也 时 和 常 更 新 换代 ， 网 络 的 安全 漏洞 需要 被 网 络 管理 员 们 
时 刻 关注 ， 网 络 安全 的 防范 措施 也 要 与 时 俱 进 能 够 应 付 
不 同 的 威胁 ， 确 保 网 络 信息 安全 、 可 控 。 
2. 3 人 为 因素 

很 多 计算 机 用 户 网 络 安全 意识 差 ， 加 之 使 用 不 当 ， 
容易 被 散 诈 、 勒 索 等 风险 通过 不 安全 网 址 或 电子 邮件 植 
人 木马 后 门 ， 这 些 人 为 因素 也 会 导致 安全 问题 发 生 。 
3. 网 络 安全 防范 措施 
3.1 技术 防范 
3.1.1 物理 安全 

物理 安全 是 保护 计算 机 网 络 设 备 、 设 施 及 其 他 媒体 
免 遭 地 震 、 水 灾 、 火 灾 等 环境 事故 ， 以 及 人 为 操作 失误 
或 者 各 种 针对 网 络 或 计算 机 的 破坏 行为 。 保 证 计算 机 信 
息 系统 各 种 设备 的 物理 安全 ， 是 整个 计算 机 信息 系统 安 
全 的 前 提 。 

物理 攻击 分 为 偶然 的 和 故意 的 ， 故 意 攻 击 是 很 明显 
的 ， 网 络 的 物理 线 缆 或 是 设备 、 配 套 设施 等 被 破坏 ， 无 
法 再 提供 网 络 服务 ; 偶然 事故 和 故意 攻击 本 质 不 一 样 ， 
但 是 结果 是 相同 的 , 也 会 对 网 络 或 者 某 个 设备 造成 破坏 。 
偶然 事故 可 以 不 归结 于 攻击 。 

物理 环境 安全 主要 是 指 对 系统 、 设 备 所 在 的 机 房 安 
全 保护 。 保护 措施 和 过 程 应 按照 国家 有 关 设 计 标准 实施 ， 
包括 消防 报警 、 安 全 照明 、 不 间断 供电 、 温 湿度 控制 系 
统 和 防盗 报警 , 应 符合 国家 对 不 同等 级 机 房 的 设计 规范 。 
3.1.2 网 络 边界 安全 

网 络 安全 主要 包括 网 络 运行 和 网 络 访问 控制 的 安全 。 
在 内 部 网 络 与 外 部 网 络 之 间 设 置 防火 墙 ， 实 现 对 外 部 网 
络 的 隔离 和 访问 控制 ， 是 保护 内 部 网 络 安全 的 最 主要 措 
施 ， 同 时 也 是 最 优先 、 最 经 济 的 措施 之 一 。 

防火 墙 从 实现 原理 上 分 为 过 滤 防 火 墙 、 应 用 级 网 关 
防火 墙 、 代 理 防 火 墙 和 规则 检查 防火 墙 ， 它们 的 部 署 位 
置 完 全 取决 于 单位 的 访问 要 求 和 安全 要 求 。 客 观 地 说 ， 
防火 墙 并 不 是 解决 网 络 安全 问题 的 万 能 药方 ， 而 只 是 网 
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络 安全 和 策略 中 的 一 个 组 成 部 分 ， 防 火 墙 自身 还 有 很 多 
局 限 ， 例 如 ， 不 能 阻止 利用 协议 缺陷 的 攻击 、 不 能 解决 
来 自 内 部 网 络 的 攻击 和 安全 问题 等 。 所 以 ， 仅 靠 在 互联 
网 入 口 处 设置 防火 墙 是 不 能 保护 整个 内 部 网 络 安 全 的 ， 
还 应 该 配备 IPS ( 入 侵 防 御 系 统 ) 这 样 专门 的 安全 设备 来 
弥补 防火 墙 的 不 足 。IPS 位 于 防火 墙 和 网 络 设备 之 间 ， 可 
以 配置 深层 次 的 防御 安全 策略 , 监视 网 络 中 的 传输 情况 ， 
通过 对 数据 包 的 检测 ， 及 时 调整 或 阻 断 一 些 不 正常 的 传 
输 ， 这 是 防火 墙 所 无 法 做 到 的 。IPS 作为 必要 的 网 络 安全 
附加 设备 ， 已 经 为 大 多 数 单位 网 络 安全 架构 的 标 配 。 
3.1.3 终端 安全 一 体 化 安全 防范 

在 当前 的 互联 网 环境 下 ， 一 般 基 层 事业 单位 已 经 建 
立 了 一 个 完整 的 网 络 平台 ， 具 备 一 定 的 网 络 规模 ， 计 算 
机 终端 数量 较 多 。 各 种 木马 病毒 、0day 漏洞 ， 以 及 类 似 
APT 攻击 等 新 型 的 攻击 手段 也 越 来 越 多 ,传统 的 防 病毒 
技术 以 及 管理 手段 已 经 无 法 满足 现 阶 段 网 络 安全 的 需要 。 
目前 ， 建 立 一 体 化 终端 安全 和 统一 管理 的 网 络 威胁 防护 
体系 是 一 个 单位 整体 防范 网 络 安全 威胁 的 首选 。 
内 绝 大 多 数 从 事 网 络 安全 的 公司 都 有 面向 企 事业 
用 户 的 网 络 安全 管理 系统 ， 依 托 其 各 自 的 云 安 全 系统 ， 
可 提供 整个 网 络 终端 安全 状况 评估 , 全 面 查 杀 、 检 测 已 知 、 
未 知 病毒 与 恶意 代码 , 通过 云 安全 ,实时 更 新 安全 补丁 ， 
调整 威胁 防护 策略 。 通过 对 网 络 文件 的 安全 审计 和 追 踊 ， 
及 时 发 现 和 定位 未 知 威胁 ， 可 对 终端 漏洞 修复 、 自 动 推 
送 补丁 ,使 网 络 终端 的 安全 风险 处 于 可 管理 、 可 控制 状态 。 
同时 ， 还 能 将 网 络 终端 的 整体 安全 状况 和 风险 情况 以 数 
字 化 方式 展现 出 来 ,帮助 网 络 安全 管理 人 员 及 时 、 准 确 、 
清晰 地 了 解 终端 所 处 的 风险 状况 , 以 便于 快速 解决 问题 。 
3. 2 管理 措施 

在 网 络 安全 领域 的 多 年 研究 实践 中 ， 人 们 逐渐 认识 
到 管理 在 网 络 安全 中 的 重要 性 ，“ 三 分 技术 , 七 分 管理 ” 
的 理念 已 经 深入 人 心 。 网 络 安全 同样 遵循 “ 木 桶 原理 ”， 
即 一 个 木 桶 的 容积 取决 于 最 短 的 那 块 木板 ， 一 个 系统 的 
安全 强度 等 于 最 薄弱 环节 的 安全 强度 。 无 论 采 用 了 多 么 
先进 的 技术 设备 ， 还 需要 有 以 人 为 目标 的 管理 手段 来 支 
持 ， 只 要 安全 管理 上 有 漏洞 ， 那 么 这 个 系统 的 安全 一 样 
没有 保障 。 
3.2.1 定期 检测 网 络 状 况 

网 络 的 状态 是 不 断 变化 的 ， 网 络 中 的 计算 机 所 面临 
的 威胁 也 随 着 网 络 环境 在 不 断 变 化 。 网 络 管理 员 的 岗位 
职责 、 日 常 工 作 要 建 章 立 制 ， 包 括 定期 检查 联网 计算 机 
病毒 代码 更 新 情况 ， 确 保 其 处 于 最 新 版 本 ， 开 启 终端 防 
护 程序 防 关 闭 和 防 印 载 功能 ， 要 经 常 通过 一 体 化 终端 管 
理 系统 检查 网 络 内 终端 安全 状况 ， 主 动 推送 对 网 内 终端 
的 安全 检测 命令 , 使 其 在 开机 状态 下 自动 修补 安全 漏洞 。 
对 于 单位 的 内 部 计算 机 网 络 ， 更 应 严格 控制 输入 输出 ， 
必要 时 应 使 用 身份 加 密 访 问 技术 ， 通 过 对 来 访 者 身份 的 
认证 ,确认 是 否 有 权限 进行 访问 ， 这 也 是 维护 网 络 安全 
的 一 种 有 效 方式 。 

此 外 ， 网 络 管理 员 要 时 常 运用 网 络 安全 监测 工具 如 
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恶意 软件 分 析 包 、 网 络 流量 分 析 工 具 、 端 口 扫描 工具 和 
漏洞 检测 框架 等 网 络 安全 性 评 佑 分 析 软 件 或 硬件 ， 检 测 
系统 的 漏洞 或 潜在 的 威胁 ， 发 现 隐 患 及 时 修补 ， 以 达到 
增强 网 络 安全 性 的 目的 。 
3.2.2 加 强 内 部 管理 ， 强 化 安全 意识 
基层 事业 单位 虽然 人 员 相 对 固定 和 单一 ， 但 这 并 不 
意味 着 计算 机 在 内 部 网 络 中 使 用 就 是 安全 的 ， 网 络 安全 
威胁 有 的 来 自 外 部 ， 有 的 则 是 来 自 单位 内 部 。 
基层 单位 没有 专职 的 网 络 安全 管理 人 员 ， 防 范 力量 
较 薄 弱 ， 首 先 要 加 强 网 络 管理 员 的 技术 培训 工作 ， 有 效 
补充 新 的 网 络 安全 管理 知识 ， 提 高 网 络 安全 防范 技术 水 
Ts 

此 外 ， 单 位 内 部 每 年 应 不 定期 开展 网 络 安全 自 查 工 
作 ， 对 于 一 些 网 络 使 用 中 存在 的 安全 隐患 进行 总 结 ， 利 
用 身边 的 案例 开展 多 种 形式 的 网 络 安全 宣讲 、 教 育 活动 。 
特别 是 要 提高 职工 的 安全 意识 ， 克 制 好 奇 心 ， 不 点 击 来 
路 不 明 的 邮件 和 和 链接， 从 而 避免 被 植 入 木马、 项 诈 勒 索 
以 及 诈骗 等 网 络 安全 事件 的 发 生 。 

培养 职工 使 用 移动 存储 先 杀 毒 的 良好 习惯 ,鼓励 个 
人 使 用 正版 软件 , 盗版 软件 本 身 就 存在 一 定 的 安全 威胁 。 
同时 ， 还 需要 完善 一 些 监督 机 制 ， 确 保 这 些 制度 能 够 落 
到 实处 ; 否则 ， 同 样 无 法 保障 网 络 安全 。 
结语 

网 络 安全 防范 是 一 个 动态 的 过 程 ， 影 响 安全 的 因素 


也 


(上 接 第 24 页 ) 


包括 增强 可 理解 性 输入 、 友 好 的 交互 体系 设计 、UGC 与 
PGC 关系 的 平衡 以 及 利益 分 配 与 激励 机 制 的 设计 等 ， 辟 
励 和 支持 知识 的 输出 行为 ， 实 现 内 容 生 产 的 闭环 结构 。 别 
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都 是 动态 变化 的 ， 防 范 也 必然 要 通过 一 个 动态 的 过 程 来 
实现 。 可 靠 的 网 络 安全 保障 体系 不 仅 具 备 对 外 部 攻击 进 
行 有 效 防范 的 能 力 ， 还 包括 完善 的 内 部 安全 管理 制度 ， 
不 应 仅仅 局 限于 对 某 种 安全 隐患 的 防范 ， 还 要 具备 应 对 
各 种 网 络 安全 隐患 的 整体 解决 能 力 ， 应 当 能 够 随 着 网 络 
安全 需求 的 变化 而 不 断 改 进 和 完善 。 这 就 要 求 基层 事业 
单位 的 网 络 管理 员 在 日 常 工作 中 要 加 强 对 网 络 的 全 玫 
测 ， 仔 细 观 察 和 分 析 影 响 网 络 安全 的 相关 因素 ， 强 化 单 
位 内 部 计算 机 的 安全 使 用 管理 ， 最 大 程度 地 消除 可 能 存 
在 的 安全 隐患 ， 确 保 基 层 事 业 单位 的 计算 机 网 络 安全 平 
稳 、 可 靠 地 有 序 运行 。 图 


[1 五 淑 华 ， 池 瑞 楠 .计算 机 网 络 安 全 技术 (第 4 版 ) [MJ. 人 
民 邮 电 出 版 社 ，2016: 5-6. 

[2]( 美 ) Douglas Jacobson 著 ， 仰 礼 友 ， 赵 红 宇 ， 译 . 网 络 安 
全 基础 一 网络 攻防 、 协 议 与 安全 [M]. 电子 工业 出 版 社 ， 
2016: 262-270. 

[3] 陈 晓 桦 ， 武 传 填 . 网 络 安全 技术 : 网 络 空 间 健 康 发 展 的 保 
障 [M]. 人 民 邮 电 出 版 社 ，2017: 27--28. 


[ley 
I 


( 作者 单位 : 新 华 社 北 京 分 社 ) 


67. 

6] 顾 琦 一 . 输出 假说 剖析 由. 外 语 学 刊 ，2006 (2) : 77-83. 

[7] 金涛 . 网 络 学 习 社 区 中 促进 知识 深层 建构 的 交互 模式 设计 

胃 . 远程 教育 杂志 ，2015 (3 ) : 64-72. 

[8] kennethan. 知识 的 特性 [OL] 简 书 .https: //wwwjianshu. 
com/p/1494feafft637 ，2018 (4) : 26. 

9] 巴 志 超 . 微 信和 群 内 部 的 会 话 网 络 结构 及 关键 节点 测度 研究 
胃 . 图 书 情报 工作 ，2017 ( 20 ) : 111-119. 

[10] 张 曼 . 输入、 交互 和 输出 与 形式 聚焦 教学 由. 当代 教育 

理论 与 实践 ，2011 (2 ) : 107-109. 

[11] 王 佳 月 . 浅 析 思想 与 表达 二 分 法 原则 四 . 商品 与 质量 ， 
2011 (9) : 16=17. 

12] 赵 宏 源 . 出 版 视 域 下 的 知识 关联 体系 构建 由. 中 国 传媒 
科技 ，2019 (1) : 52-56. 


(作者 单位 : 上 海 世纪 出 版 集团 ) 


